Chi tiết về lỗ hổng chưa được vá đã bị tiết lộ công khai sau khi Microsoft không thể vá lỗ hổng trong 90 ngày, kể từ ngày được báo cáo về lỗ hổng 24/9/2020. Lỗ hổng định danh CVE-2020-0986, liên quan đến việc nâng cấp quyền khai thác đặc quyền trong Windows Print Spooler API ("splwow64.exe"), đã được báo cáo cho Microsoft bởi một người dùng ẩn danh làm việc với Zero Day Initiative (ZDI) của công ty Trend Micro vào cuối năm 2019.
ZDI đã đăng thông báo về lỗ hổng zero-day này vào ngày 19/5/2020. Sau 6 tháng không có bản vá, lỗ hổng đã bị khai thác trong một chiến dịch có tên "PowerFall" nhắm mục tiêu vào một công ty tại Hàn Quốc.
“Splwow64.exe” là một tập tin tồn tại trong lõi của hệ điều hành Windows cho phép các ứng dụng 32-bit kết nối với một dịch vụ hàng đợi in ấn 64-bit trên hệ điều hành Windows 64-bit. Nó bao gồm một máy chủ Thủ tục gọi hàm nội bộ (Local Procedure Call – LPC) có thể được sử dụng bởi các tiến trình khác để truy cập các chức năng in.
Việc khai thác thành công lỗ hổng này giúp các hacker chiếm quyền bộ nhớ của tiến trình "splwow64.exe", thực thi mã tùy ý ở mức lõi của hệ điều hành. Cuối cùng, hacker có thể cài đặt các chương trình độc hại, xem, thay đổi hoặc xóa dữ liệu trên máy nạn nhân hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.
Tuy nhiên, để đạt được điều này, trước tiên các hacker phải đăng nhập được vào hệ thống mục tiêu được đề cập. Điều này làm giảm khả năng khai thác của lỗ hổng.
Một bài viết trên Twitter về công bố của Google Project Zero
Mặc dù, Microsoft đã giải quyết lỗ hổng trong một bản cập nhật vào tháng 6, nhưng phát hiện mới từ nhóm bảo mật của Google cho thấy lỗ hổng này vẫn chưa được khắc phục hoàn toàn.
"Lỗ hổng bảo mật vẫn tồn tại, chỉ là phương pháp khai thác đã thay đổi. Vấn đề ban đầu là một tham chiếu con trỏ tùy ý cho phép kẻ tấn công kiểm soát các con trỏ nguồn và đích sử dụng trong hàm memcpy. Bản sửa lỗi chỉ đơn giản là thay đổi các con trỏ thành các hiệu số, điều này vẫn cho phép kiểm soát các tham số của memcpy", nhà nghiên cứu Maddie Stone của Google Project Zero cho biết trong một bài viết.
Maddie Stone cũng đã chia sẻ mã khai thác (Proof-of-concept - PoC) của lỗ hổng CVE-2020-17008, dựa trên POC do Kaspersky phát hành cho CVE-2020-0986.
“Đã có quá nhiều lỗ hổng zero-day bị lợi dụng để khai thác trên mạng vào năm nay mà các bản vá không thể khắc phục triệt để hoặc không vá chính xác. Khi các zero-day này không được khắc phục hoàn toàn, những kẻ tấn công có thể sử dụng lại kiến thức của họ về các lỗ hổng và các phương pháp khai thác để dễ dàng phát triển các zero-day mới."
Dự kiến, Microsoft sẽ phát hành bản vá khắc phục lỗ hổng này vào ngày 12/1/2021.
Đăng Thứ (Theo The hacker News)
08:00 | 30/03/2020
15:00 | 28/07/2020
07:00 | 18/01/2021
13:00 | 15/03/2021
05:00 | 18/03/2019
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024